L’analyse de trafic réseau est une des techniques les plus populaires d’analyse dynamique de malwares. Dans le cadre de la réponse à incident, elle permet rapidement d’identifier les points de commande et contrôle (C2) et de produire des marqueurs ou indicateurs de compromission (« Indicators of Compromise », ou IOC) pertinents pour identifier des hôtes infectés. Les marqueurs réseau sont aussi un très bon point de pivot pour étendre sa connaissance sur l’adversaire : infrastructure, autres malwares, etc. Cependant, les outils classiques d’analyse réseau ne permettent pas de partager ses trouvailles avec d’autres chercheurs, obligeant la communauté « blue team » à partir de zéro lors de l’analyse. Nous allons voir comment Malcom essaye de répondre à ces besoins de partage et en quoi il diffère des outils d'analyse réseau classiques.
1. Malcom in the middle
Malcom est un outil qui se trouve au croisement de deux mondes : l’analyse réseau classique et le « Threat Intelligence ». Malcom est né d’un besoin très opérationnel : croiser les indicateurs réseaux intéressants issus d’une analyse dynamique du malware avec la malveillance connue sur Internet. Le processus manuel de croisement ressemble vaguement à ça :
1. On rencontre un échantillon de malware (exploit-kit, remontée utilisateur, partage sur un forum) ;
2. On lance le malware dans une sandbox ou une VM ;
3. On lance son outil d’analyse trafic réseau préféré :
- Wireshark (vue très bas-niveau) ;
- Burp (vue très (trop?) haut niveau) ;
- tcpdump (pour les warriors !) ;
4. On filtre et extrait les marqueurs réseaux des résultats. La méthode varie grandement en fonction de l’outil utilisé pour la capture.
Ces étapes peuvent être simplifiées à l’aide d’un logiciel de sandbox, comme Cuckoo Sandbox,...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première